16
unerlaubter Zugriff auf server (Win 2003 srv)
ich bin abgehender it systemelektroniker, befinde mich grade im praktikum und soll eine testumgebung mit domäne (windows server 2003) erstellen.
den server habe ich schon aufgesetzt. ad, dns & dhcp sind konfiguriert.
der ip pool ist von 192.168.0.1 - 192.168.0.10.
der server hat die 1, die beiden clients haben die 2 und 3
zugewiesen werden diese per MAC Adresse.
die restlichen ip's aus dem pool werden nicht verteilt.
Das Problem: nehm ich z.b. einen laptop, stell ihm irgendeine ip ein (am bsp: 192.168.0.156)
kann er auf den server zugreifen und nach anmeldung mit einem in der ad vorhandenden benutzer auch auf die dateien und programme zugreifen.
Aber eigentlich sollen nur die computer, die sich in der domäne befinden und eine ip zugewiesen bekommen,
an den server anmelden dürfen.
gibt es da einstellungsmöglichkeiten, die ich nicht kenne oder übersehen habe?
der ip pool ist von 192.168.0.1 - 192.168.0.10.
der server hat die 1, die beiden clients haben die 2 und 3
zugewiesen werden diese per MAC Adresse.
die restlichen ip's aus dem pool werden nicht verteilt.
Das Problem: nehm ich z.b. einen laptop, stell ihm irgendeine ip ein (am bsp: 192.168.0.156)
kann er auf den server zugreifen und nach anmeldung mit einem in der ad vorhandenden benutzer auch auf die dateien und programme zugreifen.
Aber eigentlich sollen nur die computer, die sich in der domäne befinden und eine ip zugewiesen bekommen,
an den server anmelden dürfen.
gibt es da einstellungsmöglichkeiten, die ich nicht kenne oder übersehen habe?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 110721
Url: https://administrator.de/contentid/110721
Printed on: April 25, 2024 at 20:04 o'clock
16 Comments
Latest comment
.
Es gibt die Möglichkeit, jedem Benutzer einen Rechner aus dem AD zuzuweisen - und nur von diesem Rechner aus kann er sich anmelden.
Wenn die Benutzer also einen oder zumindest eine überschaubare Anzahl von Rechnern benutzen sollen, wäre das zumindest eine Möglichkeit.
Wenn die Benutzer also einen oder zumindest eine überschaubare Anzahl von Rechnern benutzen sollen, wäre das zumindest eine Möglichkeit.
hmm, ist schonmal ne möglichkeit.. aber auch nicht das gelbe vom ei.
hab grad ma danach geguckt, wo kann man das denn einstellen?
thx 4 awnser
hab grad ma danach geguckt, wo kann man das denn einstellen?
thx 4 awnser
Öffne dafür die Eigenschaften des Benutzers, dort auf den Reiter "Konto", dann auf "Anmelden" und dort kannst du eine Liste von Rechnern erstellen. Möglicherweise kann man dieses Limit auch global für ganze Benutzergruppen festlegen, so gut bin ich in AD leider nicht involviert 
das problem an der sache ist es, dass ich nur den namen des computers angeben kann. um es eindeutig zu machen, würden aber die mac adressen eher einen sinn ergeben.
denn ich kann ja jeden rechner horst nennen, wenn ich will.
aber danke für den ansatz mit den GPO's, vielleciht komm ich da weite.
denn ich kann ja jeden rechner horst nennen, wenn ich will.
aber danke für den ansatz mit den GPO's, vielleciht komm ich da weite.
Aber auch wenn du einen anderen Rechner auch Horst nennst, ist dieser noch nicht mit diesem Namen in der Domäne. Und da kommt er nur mit dem Administratorpasswort des Servers hinein 
Die Rechner werden bei AD ohnehin mit GUIDs geführt, von daher ist das sehr eindeutig.
Die Rechner werden bei AD ohnehin mit GUIDs geführt, von daher ist das sehr eindeutig.
Aber eigentlich sollen nur die computer, die sich in der domäne befinden...
Auch wenn ich es grade nicht ausprobiert habe:In den Freigabeeinstellungen (nicht Sicherheitseinstellungen!) für den Share sollte als einziger Eintrag "Domänencomputer" mit Lesen und Schreiben erlaubt sein. Die weiteren Rechte kannst du über die NTFS-Sicherheitseinstellungen regeln.
Allgemein ist es aber immer etwas schwer LANs vor Fremdcomputern zu schützen. Das wird idR am Switch gemacht über MAC-Listen, 802.1x oder VPN...
Grüße
Max
Tag auch!
2. mit der IP hat das überhaupt nichts zu tun.
Später schreibst Du
Desweiteren schreibt dog:
Aber eigentlich sollen nur die computer, die sich in der domäne befinden und eine ip zugewiesen bekommen, an den server anmelden dürfen.
1. hier meldet sich kein Computer an, sondern ein Domänenbenutzer von einem Nicht-Domänencomputer aus. Dies ist erlaubt, sofern der Domänenbenutzer die Anmeldeberechtigung an diesem PC besitzt (oder "an allen Computern" eingestellt ist).2. mit der IP hat das überhaupt nichts zu tun.
Später schreibst Du
denn ich kann ja jeden rechner horst nennen, wenn ich will
worauf Maxi schreibt:wenn du einen anderen Rechner auch Horst nennst, ist dieser noch nicht mit diesem Namen in der Domäne. Und da kommt er nur mit dem Administratorpasswort des Servers hinein
was ungenau ist. Um einen Rechner zur Domäne hizuzufügen braucht man nicht das Adminpasswort des Domänencontrollers, dies kann jedes Domänenkonto. Jedoch kann man mit einem 0815-Konto kein bestehendes Konto überschreiben. Beispiel: Du hast am DC eingestellt, dass Nutzer Hans sich von Rechner Horst an der Domäne anmelden darf. Nun kommt Hans mit seinem Zweitrechner Horst II an und nennt diesen in Horst um, um ihn sich anmelden zu können. Beim Hinzufügen des umbenannten PCs scheitert er, denn das Computerobjekt Horst darf nur von einem Domänenadmin überschrieben werden.Desweiteren schreibt dog:
In den Freigabeeinstellungen (nicht Sicherheitseinstellungen!) für den Share sollte als einziger Eintrag "Domänencomputer" mit Lesen und Schreiben erlaubt sein
...was auch nicht stimmt. Dort kann ruhig jeder zugriffsberechtigt sein. Jeder bedeutet "jeder Domänenbenutzer", siehe http://technet.microsoft.com/en-us/library/cc780850.aspxEveryone (S-1-1-0) - On computers running Windows Server 2003 operating systems, Everyone includes Authenticated Users and Guest. On computers running earlier versions of the operating system, Everyone includes Authenticated Users and Guest plus Anonymous Logon.
hallo
also ich habe das selbe Problem und bei mir sieht es so aus:
1 Win 2003 Server R2 std.
2 XP Clients
1 Notebook
DHCP und DNS: Aktiv
IP-Bereich: 192.168.1.1-10
Die 2 Xp Clients sind bereits in der Domäne und haben benutzerzugriff auf den Server. Der Laptop aber soll kein Zugriff haben.
Nehmen wir also als beispiel mal eine Firma mit einem Großen Netzwerk. Dort kommt ein Vertrter und möchte mit seinem Notebook während der Beratung ins Internet gehen. Desweiteren möchte er noch die Excel Datei der letzten Beratung vom Firmeneigenden Server öffnen. Also kabelt er einfach ein Netzwerkstecker an und hat reinzufällig aus seiner Berater Firma das selbe IP Netz. Jetzt braucht er nur noch einen Nutzernamen. Also fragt er Frau Meier: "Wie melden sie sich am server an? ich brauch mal kurz die Auswertung xy" Frau meier sagt: "kyxz5634 und mein passwort ist:123456789".
So doof kann es manchmal kommen! Also der Notebook user der nicht ind der Domäne( OU) steht soll sich nicht mit dem Nutzernamen XY von Frau Meier Anmelden können.
also ich habe das selbe Problem und bei mir sieht es so aus:
1 Win 2003 Server R2 std.
2 XP Clients
1 Notebook
DHCP und DNS: Aktiv
IP-Bereich: 192.168.1.1-10
Die 2 Xp Clients sind bereits in der Domäne und haben benutzerzugriff auf den Server. Der Laptop aber soll kein Zugriff haben.
Nehmen wir also als beispiel mal eine Firma mit einem Großen Netzwerk. Dort kommt ein Vertrter und möchte mit seinem Notebook während der Beratung ins Internet gehen. Desweiteren möchte er noch die Excel Datei der letzten Beratung vom Firmeneigenden Server öffnen. Also kabelt er einfach ein Netzwerkstecker an und hat reinzufällig aus seiner Berater Firma das selbe IP Netz. Jetzt braucht er nur noch einen Nutzernamen. Also fragt er Frau Meier: "Wie melden sie sich am server an? ich brauch mal kurz die Auswertung xy" Frau meier sagt: "kyxz5634 und mein passwort ist:123456789".
So doof kann es manchmal kommen! Also der Notebook user der nicht ind der Domäne( OU) steht soll sich nicht mit dem Nutzernamen XY von Frau Meier Anmelden können.
Hi soussa,
oben wurde schon erklärt, dass man den Standard von "Jedes Domänenkonto darf sich überall anmelden" jederzeit ändern kann - zum Beispiel für Frau Meier auf nur PC Meier.
oben wurde schon erklärt, dass man den Standard von "Jedes Domänenkonto darf sich überall anmelden" jederzeit ändern kann - zum Beispiel für Frau Meier auf nur PC Meier.
Okay ist ja eine schöne Funktion. Nur soll sich Frau Meier an jeden PC in der Domäne(Firma) anmelden können. Quasi alle PC´s die der Administrator authentifiziert hat.
Bald wird ein zweiter Thread fällig
Du kannst diese Liste der erlaubten Workstations natürlich per Skript für alle/einige Nutzer halbwegs komfortabel ins AD eintragen.
Eher üblich wäre der Gedanke, sich gegen Rechner zu schützen, die an freie Netzwerkdowsen angeschlossen werden - unabhängig ob Domänenmitglied oder nicht.
Da gibt es zwei Stichwörter, die mir einfallen: arpwatch und NAP (network access protection). Schau Dich da mal um.
Du kannst diese Liste der erlaubten Workstations natürlich per Skript für alle/einige Nutzer halbwegs komfortabel ins AD eintragen.
Eher üblich wäre der Gedanke, sich gegen Rechner zu schützen, die an freie Netzwerkdowsen angeschlossen werden - unabhängig ob Domänenmitglied oder nicht.
Da gibt es zwei Stichwörter, die mir einfallen: arpwatch und NAP (network access protection). Schau Dich da mal um.
Zitat von @DerWoWusste:
Du kannst diese Liste der erlaubten Workstations natürlich per
Skript für alle/einige Nutzer halbwegs komfortabel ins AD
eintragen.
Du kannst diese Liste der erlaubten Workstations natürlich per
Skript für alle/einige Nutzer halbwegs komfortabel ins AD
eintragen.
und wie? damit komm ich ja nicht zurande.
ne lösung wär mal ne idee.
Eher üblich wäre der Gedanke, sich gegen Rechner zu
schützen, die an freie Netzwerkdowsen angeschlossen werden -
unabhängig ob Domänenmitglied oder nicht.
schützen, die an freie Netzwerkdowsen angeschlossen werden -
unabhängig ob Domänenmitglied oder nicht.
hey, genau darum geht es doch die ganze zeit.
aber jetzt sag nicht, ich muss die netzwerkdosen ausbauen und bei bedarf erst wieder einbauen, sowas kann mir mein opa, der stahlbauer war, auch sagen.
gibt es denn keine vernünftige einfache lösung dafür? ohne zusätzlicher software? ich muss doch einen Windows 2003 Server komplett abriegeln können oder nicht!?
vielen dank für die antworten.
mfg stefan
Zum Skript (VBS):
--
set oUser = GetObject("LDAP://cn=Nutzername,ou=DeinOU-Name,dc=DeinDomänenname,dc=de...fallsEndungde...")
oUser.userWorkstations = oUser.userWorkstations & ",PC1"
oUser.SetInfo
--
Setzt zusätzlich zu den vorhandenen Workstations, an denen sich Benutzer "Nutzername" anmelden kann die Workstation PC1 auf die Liste. Das Skript lässt sich anpassen, jedoch kann ich mich jetzt nicht darum kümmern.
--
set oUser = GetObject("LDAP://cn=Nutzername,ou=DeinOU-Name,dc=DeinDomänenname,dc=de...fallsEndungde...")
oUser.userWorkstations = oUser.userWorkstations & ",PC1"
oUser.SetInfo
--
Setzt zusätzlich zu den vorhandenen Workstations, an denen sich Benutzer "Nutzername" anmelden kann die Workstation PC1 auf die Liste. Das Skript lässt sich anpassen, jedoch kann ich mich jetzt nicht darum kümmern.
hmm... habs gestern den ganzen Abend ausprobiert, aber hat leider keinen Erfolg gebracht.
Ich konnte mich trotzdessen von einem anderen Rechner mit einer IP aus dem Bereich auf den Server mit den Anmeldedaten eines Benutzers aus der AD anmelden.
Aber Danke.
lG
Ich konnte mich trotzdessen von einem anderen Rechner mit einer IP aus dem Bereich auf den Server mit den Anmeldedaten eines Benutzers aus der AD anmelden.
Aber Danke.
lG
Du sagst, Du konntest Dich an einer Arbeitsstation anmelden, obwohl diese nicht für den Benutzer eingetragen war? Das bezweifle ich stark
